Acuerdo de confidencialidad: plantilla NDA conforme a la Ley 1/2019

El acuerdo de confidencialidad es un contrato atípico de naturaleza obligacional, regulado supletoriamente por los artículos 1254 y siguientes del Código Civil y reforzado en su contenido por la Ley 1/2019, de 20 de febrero, de Secretos Empresariales. Su objeto es identificar la información que las partes consideran reservada, fijar el deber de secreto, delimitar los usos autorizados y establecer las consecuencias del incumplimiento. La doctrina mercantil lo califica como contrato de tracto sucesivo y prestación negativa: la parte receptora se obliga, durante un plazo determinado, a no hacer algo (no divulgar, no usar fuera del fin pactado, no copiar).

Conviene no confundirlo con figuras próximas. El pacto de no competencia postcontractual del artículo 21.2 del Estatuto de los Trabajadores impide al empleado trabajar para la competencia tras la extinción del contrato y exige compensación económica; el NDA, en cambio, prohíbe divulgar información concreta y no requiere contraprestación específica si va incorporado al contrato laboral. El pacto de exclusividad restringe trabajar simultáneamente para terceros, una obligación distinta del secreto. Y el acuerdo de cesión de propiedad intelectual transfiere derechos sobre obras o invenciones, mientras que el NDA solo protege información sin transferir titularidad. En la práctica, el documento sólido combina las cláusulas de confidencialidad con remisiones expresas a estos otros pactos cuando la operación lo exige, como ocurre con los documentos disponibles en la sección de modelos para la gestión empresarial conforme al Estatuto de los Trabajadores.

La regulación nuclear de los acuerdos de confidencialidad en España descansa sobre la Ley 1/2019, de 20 de febrero, de Secretos Empresariales, que transpone al ordenamiento interno la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados. Hasta su entrada en vigor el 13 de marzo de 2019, la materia se dispersaba entre el artículo 13 de la Ley 3/1991 de Competencia Desleal y los artículos 278 y 279 del Código Penal, con resultados desiguales en la práctica forense. La ley actual unifica el régimen civil, define qué es secreto empresarial y, sobre todo, exige al titular acreditar que ha adoptado medidas razonables para mantener la información reservada. Sin un NDA escrito o un protocolo interno documentado, esa prueba es prácticamente imposible de articular en sede judicial.

El artículo 1.1 de la Ley 1/2019 define el secreto empresarial mediante tres requisitos acumulativos: la información debe ser secreta (no generalmente conocida ni fácilmente accesible para los círculos que habitualmente la utilizan), tener valor empresarial precisamente por su carácter reservado, y haber sido objeto de medidas razonables de protección por parte del titular. El acuerdo de confidencialidad es la medida razonable por excelencia: la propia exposición de motivos de la ley lo cita expresamente como instrumento idóneo. Su omisión rompe el tercer requisito y deja la información huérfana de protección, por mucho que reúna los dos primeros.

En cuanto a la forma, el NDA no exige escritura pública ni intervención notarial para ser válido. Sí debe constar por escrito firmado por ambas partes, identificar con razonable precisión la información protegida y fijar un plazo de vigencia. La jurisprudencia del Tribunal Supremo (entre otras, STS 670/2010 y la línea posterior tras la Ley 1/2019) rechaza cláusulas de confidencialidad genéricas que se limitan a hablar de "toda información intercambiada" sin más concreción, por considerarlas indeterminadas. El plazo de prescripción para ejercitar acciones civiles por violación del secreto es de tres años desde que el legitimado tuvo conocimiento del infractor, según el artículo 11 de la ley. El Boletín Oficial del Estado publica el texto consolidado de la Ley 1/2019 de Secretos Empresariales con todas las modificaciones posteriores.

El supuesto más frecuente, con diferencia, es la incorporación de un trabajador con acceso a información sensible: equipo comercial con cartera de clientes, perfil técnico con acceso al código fuente, dirección financiera con visibilidad sobre márgenes y proveedores. Aquí el NDA suele integrarse como anexo al contrato laboral, junto a pactos de exclusividad o no competencia. Cuando la incorporación implica recoger datos personales de candidatos durante el proceso de selección, conviene complementar el acuerdo con los modelos disponibles en el catálogo de documentos para la constitución y vida societaria, que integran las cláusulas habituales de tratamiento de datos.

El segundo supuesto es la fase precontractual con un socio, inversor o comprador potencial. Antes de entregar un information memorandum, un data room o cualquier dossier de due diligence, el NDA fija las reglas del juego: qué información se cubre, durante cuánto tiempo, qué usos están permitidos y qué ocurre si la operación no llega a cerrarse. Una entrega de información sin NDA previo se considera divulgación voluntaria y el receptor difícilmente podrá ser perseguido después, por ilícita que parezca su conducta.

El tercer supuesto cubre la externalización de servicios y la cadena de proveedores: una agencia de marketing que accede a la base de datos comercial, un despacho de programación al que se entregan especificaciones funcionales, un consultor con acceso a las cuentas de gestión. Cada eslabón sin NDA es una vía de fuga. Dos casos límite merecen mención: las relaciones con becarios o personal en prácticas, donde el deber de secreto debe pactarse expresamente porque el régimen general del Estatuto de los Trabajadores no siempre cubre estas figuras; y la colaboración con medios de comunicación o agencias creativas que reciben información reservada para producir contenidos, donde un NDA mal calibrado puede chocar con la libertad de información del artículo 20 de la Constitución.

• La identificación de las partes se redacta con datos completos de la persona física o jurídica que divulga (parte divulgadora) y la que recibe (parte receptora), incluyendo NIF, domicilio social y representante con facultades suficientes. En los NDA empresariales con personas jurídicas, conviene exigir copia del poder de representación; un acuerdo firmado por quien carecía de facultades es atacable por la otra parte si surge el conflicto.
• La definición del objeto y de la información confidencial delimita qué se protege y qué no, evitando las fórmulas genéricas que la jurisprudencia rechaza. La plantilla recoge categorías concretas (información técnica, comercial, financiera, estratégica, de clientes, de proveedores) y permite añadir referencias específicas a documentos, data rooms o sistemas. Se incluyen también las exclusiones legalmente exigidas: información ya pública, conocida previamente, recibida de tercero sin deber de secreto o desarrollada de forma independiente, según el artículo 2 de la Ley 1/2019.
• Las obligaciones de la parte receptora detallan el deber de no divulgación, los usos autorizados (solo para la finalidad del contrato), la prohibición de copia salvo autorización, el deber de custodia con la misma diligencia que la propia información reservada, y la obligación de comunicar cualquier acceso indebido o pérdida. Se añade el compromiso de extender el deber de secreto a empleados y subcontratistas mediante NDAs back-to-back, requisito recurrente en due diligence de inversores serios.
• El plazo de vigencia y la duración del deber de secreto se fijan con precisión. La regla práctica más extendida en el mercado español es cinco años desde la firma o desde la extinción del contrato principal, ampliables a diez en sectores tecnológicos. Para información que constituye secreto empresarial conforme a la Ley 1/2019, el deber legal subsiste mientras la información mantenga su carácter reservado, con independencia de que el plazo contractual haya expirado.
• Las consecuencias del incumplimiento integran una cláusula penal del artículo 1152 del Código Civil, que fija una indemnización mínima sin necesidad de acreditar daño, sumada al derecho de reclamar daños efectivos cuando superen la pena. Se reservan expresamente las acciones de cesación, remoción, publicación de la sentencia y todas las previstas en el artículo 9 de la Ley 1/2019, así como las acciones penales si los hechos pudieran constituir delito.
• La jurisdicción competente y la ley aplicable designan los juzgados de lo mercantil del domicilio del titular del secreto, por ser los competentes para los litigios derivados de la Ley 1/2019 según su Disposición final segunda, y someten el contrato a la legislación española. En relaciones internacionales, la cláusula se complementa con sumisión a arbitraje cuando procede.

Cataluña. La práctica catalana, muy marcada por la presencia de hubs tecnológicos en Barcelona y la implantación de despachos internacionales, ha consolidado el uso de NDAs bilingües castellano-inglés con remisión expresa al Llibre sisè del Codi civil de Catalunya en lo relativo a obligaciones cuando la operación tiene anclaje territorial catalán. En materia de competencia desleal y secretos empresariales, sigue plenamente aplicable la legislación estatal, pero los juzgados mercantiles de Barcelona han desarrollado una línea jurisprudencial exigente sobre la concreción del objeto del NDA, rechazando cláusulas que se limitan a referencias genéricas a "toda información comercial". Los NDAs catalanes deben describir con detalle las categorías de información protegida, idealmente con anexos técnicos.

Comunidad de Madrid. Madrid concentra la mayoría de operaciones de M&A y de venture capital del país, lo que ha generado una práctica muy refinada en torno a los NDAs de due diligence. La particularidad madrileña es el uso extendido de las llamadas clean team agreements, NDAs reforzados dentro del proceso que limitan el acceso a la información más sensible a un equipo restringido de asesores externos. Los juzgados mercantiles de Madrid aplican con rigor el artículo 15 de la Ley 1/2019, que faculta al juez para adoptar medidas de protección de la información confidencial durante el proceso judicial, lo que se ha traducido en una jurisprudencia favorable a los titulares de secretos diligentes.

País Vasco. El tejido industrial vasco, con fuerte presencia de empresas manufactureras y de ingeniería, hace que los NDAs vascos giren con frecuencia en torno a know-how técnico, planos, especificaciones de producto y procesos de fabricación. La práctica local recomienda anexar la documentación técnica protegida con referencia cruzada en el cuerpo del NDA, para satisfacer el requisito de concreción exigido por la Ley 1/2019. En el ámbito laboral, los convenios colectivos sectoriales del metal y de la industria química vascos incluyen cláusulas de confidencialidad mínimas que deben articularse con el NDA individual sin contradicción.

Comunidad Valenciana. La economía valenciana, con peso del calzado, la cerámica, la agroalimentación y un sector tecnológico en expansión en Valencia capital, presenta una casuística donde el NDA convive con la protección de diseños industriales registrados. La articulación entre el deber de secreto contractual y el régimen de la Ley 20/2003 de Diseño Industrial exige cuidado redaccional para evitar contradicciones: lo registrado deja de ser secreto en sentido legal, aunque puedan protegerse aspectos no registrados del mismo producto. Para procesos de exportación, frecuentes en el tejido valenciano, conviene complementar el NDA con los modelos de poderes y mandatos de representación para gestiones internacionales.

Andalucía. En Andalucía, la combinación de polos industriales (Cádiz, Huelva), turísticos y agroalimentarios produce NDAs muy distintos según el sector. Lo común es la atención reforzada a las relaciones con franquiciados y distribuidores, donde el NDA forma parte del paquete contractual junto con cláusulas de territorialidad. Los juzgados mercantiles de Sevilla y Málaga han admitido cláusulas penales elevadas en NDAs B2B siempre que respondan a un cálculo razonable del daño potencial, en línea con el artículo 1154 del Código Civil.

El proceso en Captain.Legal arranca eligiendo el escenario que mejor encaja con tu situación: NDA laboral, NDA precontractual con socio o inversor, NDA con proveedor o consultor, o NDA mutuo cuando ambas partes intercambian información sensible. A partir de esa elección inicial, el formulario adapta las cláusulas, los plazos sugeridos y la redacción de las penalizaciones a la situación concreta. No tienes que decidir todo de antemano: cada pregunta lleva ayuda contextual y los plazos legalmente exigibles aparecen marcados como tales para que no introduzcas, por ejemplo, una vigencia inferior a la admitida por la jurisprudencia mercantil.

Después introduces los datos identificativos de las partes (denominación, NIF, domicilio social, representante) y describes con la mayor concreción posible el objeto del acuerdo: qué información se comparte, en qué contexto, durante cuánto tiempo. Si la operación implica varios documentos relacionados, encontrarás referencias internas a otros modelos del catálogo de trámites y documentos cotidianos para empresas y particulares que conviene firmar en paralelo, como cartas de autorización o reconocimientos de deuda. En la pantalla final revisas el documento generado, ajustas los puntos que quieras matizar y descargas el archivo en Word y PDF listos para firma. Antes de firmar, comprueba siempre que el objeto del NDA describe la información protegida con suficiente detalle, porque ahí se juega la eficacia del documento en un futuro litigio.

El error más frecuente, y el que con más facilidad invalida la protección, es redactar la cláusula de información confidencial en términos genéricos. "Toda información intercambiada entre las partes" es la fórmula que los juzgados mercantiles rechazan una y otra vez por indeterminada. La redacción correcta enumera categorías (información financiera, técnica, comercial, de clientes, de personal) y permite añadir anexos con documentos concretos, data rooms o referencias técnicas; un NDA con tres líneas de objeto y veinte de penalizaciones es un NDA débil. Igual de común es olvidar las exclusiones del artículo 2 de la Ley 1/2019 (información pública, ya conocida, recibida de tercero, desarrollada de forma independiente): un acuerdo que pretende cubrirlo todo deviene desproporcionado y abre la puerta a su nulidad parcial.

Otro error recurrente es fijar plazos irrealistas, ya sea por exceso (deber de secreto perpetuo, salvo para secretos empresariales genuinos cubiertos por la Ley 1/2019) o por defecto (un año en NDAs de M&A donde la información sigue siendo sensible cinco años después). La cláusula penal mal calibrada es el cuarto fallo típico: penas simbólicas que no disuaden a nadie, o penas astronómicas que un juez moderará a la baja en virtud del artículo 1154 del Código Civil. Y el quinto, especialmente costoso en due diligence y en relaciones con proveedores, es no exigir NDAs back-to-back: la parte receptora se obliga, pero sus empleados y subcontratistas no firman nada equivalente, y la cadena de protección se rompe en el primer eslabón. Para evitar esta brecha, conviene revisar también los modelos del catálogo de documentos para asociaciones, fundaciones y entidades sin ánimo de lucro cuando la operación involucra colaboraciones con este tipo de organizaciones, frecuentes en patrocinios y partenariados.